【技術】ATMにスマートフォンをかざすだけでハッキング? ロドリゲスがAndroidアプリを開発 [haru★]
■ このスレッドは過去ログ倉庫に格納されています
非接触クレジットカードに対応したシステムの脆弱性を突いてATMから大量に現金を吐き出させたり、レジを誤操作させたりできる手法を研究者が発見した。
近距離無線通信(NFC)リーダーのチップの脆弱性によるもので、いまだに脆弱性の多くは機器に残っている可能性が高いという。
セキュリティ研究者とサイバー犯罪者たちは何年も前から、あらゆる手段を使って現金自動預払機(ATM)の内部に入り込んでハッキングを試みてきた。
フロントパネルを開けてポートにUSBメモリーを差したり、ドリルで穴を開けて内部の配線を露出させたりといった手法だ。
こうしたなかATMのみならず、さまざまなPOS端末まで新たな方法でハッキングできるバグを研究者が発見した。
非接触型のクレジットカードリーダーにスマートフォンをかざすだけでハッキングできるというのだ。
セキュリティ企業IOActiveの研究員兼コンサルタントのジョセップ・ロドリゲスは、このほど1年かけて世界中の何百万台というATMやPOSシステムに使われている近距離無線通信(NFC)リーダーのチップの脆弱性を調べた結果を報告した。
NFCのシステムがATMに搭載されていれば、クレジットカードをスワイプしたり挿入したりする代わりに、リーダーにかざすだけで支払いを済ませたりATMから現金を引き出したりできる。
コンサルタントとして長年ATMのセキュリティを検証してきたロドリゲスは、ATMの非接触型カードリーダー(決済技術企業のID TECHが販売しているものが多い)がハッキングの入口になる可能性について、1年前から調べ始めたという。
eBayでNFCリーダーやPOS機器を購入し始めたが、その多くに同じセキュリティ上の欠陥があることをほどなく発見した。
そうした機器はNFCを介してクレジットカードからリーダーに送信されるデータパケット、すなわちAPDU(Application Protocol Data Unit)のサイズを検証していなかったのだ。
ロドリゲスは、リーダーが想定しているサイズの数百倍の大きさで念入りに作成されたAPDUを、カスタムアプリを使ってNFC対応のAndroid端末から送信することで、「バッファオーヴァーフロー」を引き起こすことに成功した。
バッファオーヴァーフローは数十年前から存在するソフトウェアの脆弱性で、ハッカーはこれを使うことで標的にしたデヴァイスのメモリーを破壊し、独自のコードを実行できる。
彼はバッファオーヴァーフローのような単純な脆弱性が、これほど多くの一般的に使用されている機器に残っていることに衝撃を受けたという。しかもよりによって、現金と機密性の高い金融情報を扱う機器に見つかったのである。
「こうした脆弱性は何年も前からファームウェアに存在しており、わたしたちはこのような機器を毎日使ってクレジットカードやお金の取引をしているのです」とロドリゲスは言う。「こういった機器は安全でなければなりません」
https://wired.jp/app/uploads/2021/06/26095621/GettyImages-922783932-main-e1624669036668_w1920.jpg
2021.06.27 SUN 09:00
https://wired.jp/2021/06/27/atm-hack-nfc-bugs-point-of-sale/ >>12
何を目的とするかにもよるだろ
どこかの国で混乱を目的として同時多発でやられたら相当なトラブルになったのでは 複数の特許が入り乱れてるから、うまくやってるのを祈るしか無いシステムw >>11
一応通報自体はだいぶ前にやってるからね
それでもなお修正が成されないのであればある程度の情報を出して修正を促す
>今回のバグの影響を受ける機器のヴェンダーに対して、ロドリゲスは1年前から7カ月前にかけて警告したという。 私立文系wwwwwwwwwwwwwww
私立文系wwwwwwwwwwwwwww
私立文系wwwwwwwwwwwwwww
私立文系wwwwwwwwwwwwwww
私立文系wwwwwwwwwwwwwww
私立文系wwwwwwwwwwwwwww
私立文系wwwwwwwwwwwwwww 私立文系wwwwwwwwwwwwwww
私立文系wwwwwwwwwwwwwww
私立文系wwwwwwwwwwwwwww
私立文系wwwwwwwwwwwwwww
私立文系wwwwwwwwwwwwwww
私立文系wwwwwwwwwwwwwww
私立文系wwwwwwwwwwwwwww
ってこゆ記事にすぐに騙される
若いころ、数学とか理科やっといたほうがいいねwwww >そうした機器はNFCを介してクレジットカードからリーダーに送信されるデータパケット、すなわちAPDU(Application Protocol Data Unit)のサイズを検証していなかったのだ。
アメリカもこんなずさんな設計してるんだ
と思ったけど日本はもっとやばそうね うそくせーw
本当なら俺の口座に1億くらい振り込んでみ? ✕メモリ破壊
○メモリを溢れさせて特定のアドレスに飛ばして、そこに仕込んだプログラムを実行させる >>1
FF3でメモリを矢まみれにしてた頃と変わらないな 世界中から1円未満の端数を集めたら30億ぐらいになったなぁそういえば root取ってキャプチャ仕込んで抜いたアイパスで金吐き出させるのかな。 PayPay銀行のスマホATMは使わないほうがいいな >>1
非接触型のクレジットカード、三井住友ナンバーレスは
盗 難 保 険 が 付 い て い な い。
版面に名前やクレカ番号が書いておらず、店員さんとかに盗まれにくい代わりにということらしいが、
規約を読まずに便利さから持ち歩いていて、落としたらシャレにならない。 >>1
最近普通のクレカを読み取り機に差して、承認されるまでの時間が長くなった。
前と同じタイミングで抜くと、やり直しになって邪魔くさい。
しかしタッチレスのクレカは>>47に書いたようなことがあるし、
カバンの上から電子スリに遭わないかどうか分からないので、――
私は現金主義に戻ることにした。 バッファオーバーフローなんて簡単に対応できそうなもんだが、やってないの多いのか 駅の改札をハッキングしてSuicaの残高を〜ってネタを久米田康治が書いてたけど
それに近い事になりましたな ヒュルリ〜 ヒュルリララ〜
聴き分けのないゴンザレス〜 昔、あったね
テレカで怪しげな東洋人がとあるところで売っていたねw 誰もやらんだろ ATMに忘れてる札ギッテも捕まるのに >>53
今はスイカビザ各種ペイをスマホで一括管理OK? そのうちiPhoneにかざすだけでハッキングするAndroidアプリが開発されそうwwww 対策で顔認証でマスクやサングラス付けてたら反応しないようにすればオケ
今では玄関のインターホンにすら付いてる装置だから安いだろ >>4
逮捕されるのは受け子ばかりで大本は無理だろうな >>50
現金で面倒なのが小銭が増える事
支払い時に紙幣と併せて小銭のみ電子マネーで決済できるとイイね
決済額が激減するから、カード発行体からすると面白くないだろうけどね 割とめんどいスマホATM
キャッシュカードを持ち歩かないから安全でいいけど >>1
あ!この方法拡散したらそれだけでやばいねw ■ このスレッドは過去ログ倉庫に格納されています